Didattica a distanza, rappresenta la risposta formativa della scuola all’ emergenza da Coronavirus. In alcuni casi gli insegnanti sono costretti a trattare l’indirizzo di posta elettronica. E’ un dato personale, quindi occorrono delle attenzioni, tenendo presente il GDPR (2016/679), il decreto attuativo (101/18) e i pronunciamenti dl Garante della Privacy
Chi ha adottato il registro elettronico ha sicuramente meno problemi. Il primo è la familiarità tecnico-informatico con l’ambiente di lavoro. Segue la tutela legale nella gestione dei dati personali (famiglia, alunni). In altri termini il registro elettronico pur risultando uno strumento facoltativo (Cass. pen. Sez. V, Sent., (ud. 02-07-2019) 21-11-2019, n. 47241), ormai è perfettamente integrato nel sistema scolastico, in quanto l’avvio risale alla legge 135/12. Pertanto la gestione dei dati personali legati al registro elettronico è stata normalizzata (=istituzionalizzata) e le informazioni trattate risultano coerenti con le finalità della scuola, che comportano l’ovvia minimalizzazione del dato, rendendolo pertinente e adeguato.
Invece, la decisione di adottare strumenti alternativi o sostitutivi al registro elettronico per attuare la didattica a distanza, pone alcuni problemi sulla gestione degli indirizzi elettronici. I molti casi questi sono richiesti ai genitori per attivare la classe virtuale.
La domanda iniziale è la seguente: l’indirizzo di posta elettronica è un dato personale? La risposta è affermativa. Si legge, infatti sul sito del Garante della Privacy, facendo riferimento a un suo pronunciamento del 25 giugno 2002 “L´indirizzo di posta elettronica dell´interessato costituisce un suo dato personale. La raccolta e l´utilizzazione da parte di terzi (nella specie, al fine dell´invio di newsletter) costituisce quindi trattamento di dati personali ai sensi della normativa posta a tutela della riservatezza.
Il GDPR (Regolamento europeo per il trattamento dei dati personali) e il conseguente decreto attuativo sono molto chiari.
Ribadiscono quello che già era previsto dal D.Lvo196/03. Ogni trattamento di dati personali richiede sempre il consenso esplicito del diretto interessato. Si legge infatti all’art. 9″ È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”. Questi divieti decadono, se “l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche”
Per essere valido il consenso deve avere queste caratteristiche:
1) inequivocabile, espresso in modo esplicito, ma anche implicito purché sia chiara l’intenzione del diretto interessato;
2) libero non imposto o estorto anche con raggiri linguistici;
3) specifico riferito a determinate finalità per il quale si chiede;
4) informato rimanda al principio della trasparenza che richiede chiarezza nelle finalità e modalità del trattamento
Seguono poi la verificabilità e la revocabilità del consenso che non richiedono particolari spiegazioni.
Tutti questi elementi rendono problematica l’attivazione di classi virtuali a latere o sostitutive il registro elettronico: Prima questione. L’apertura di un ambiente virtuale è un’operazione che può configurarsi come un’operazione privata o pubblica. Se questa è compiuta senza un’autorizzazione istituzionale, allora il docente in quel momento ha un profilo privato. In altri termini la richiesta dell’email al genitore può configurarsi come un’azione arbitraria se non collegata alla sua funzione istituzionale.
Considerando l’emergenza della situazione attuale, la soluzione è semplice. E’ sufficiente che il Dirigente scolastico comunichi per iscritto e poi pubblichi sul sito della scuola una circolare. In essa si comunica l’avvio della didattica a distanza, da parte dei docenti dell’istituto con l’utilizzo di determinati servizi che richiedono l’uso di indirizzi di posta elettronica. Meglio essere chiari, anche in presenza di più opzioni.
In questo modo le iniziative e le conseguenti richieste sono autorizzate dal Rappresentante legale dell’Istituto, assumendo il carattere istituzionale e quindi di perseguimento delle finalità formative della scuola.
Seconda questione. L’autorizzazione non è sufficiente. E’ necessario il consenso esplicito, libero, informato e inequivocabile del genitore al trattamento del dato personale. Questo sempre va fatto dalla scuola primaria alla secondaria, in quanto quasi tutti gli studenti sono minorenni. Il caso specifico non rientra in quello previsto dal GDPR (art. 8) e dal Decreto attuativo 101/18 (art.6). Quest’ultimo prevede che può essere il quattordicenne (decisione italiana) a gestire personalmente il consenso richiesto dalle società dei servizi dell’informazione (realtà diverse da quelle scolastiche)
Anche in questo caso la soluzione è di facile praticabilità: richiedere ai genitori un preventivo consenso scritto all’uso dell’indirizzo di posta elettronica finalizzato, al proseguimento delle attività didattiche online.
Soluzioni semplici a problemi vecchi e nuovi. Meglio essere accorti che poi trovarsi a rispondere di possibili illeciti davanti al Garante per la Privacy…